Bulut için Microsoft Defender’da uyarı doğrulaması

  • Makale

Bu belge, sisteminizin Bulut için Microsoft Defender uyarıları için düzgün yapılandırılıp yapılandırılmadığını doğrulamayı öğrenmenize yardımcı olur.

Güvenlik uyarıları nedir?

Uyarılar, Bulut için Defender kaynaklarınız üzerinde tehdit algıladığında oluşturduğu bildirimlerdir. Sorunu hızla araştırmak için gereken bilgilerle birlikte uyarıları önceliklendirir ve listeler. Bulut için Defender ayrıca bir saldırıyı nasıl düzeltebileceğinize ilişkin öneriler sağlar.

Daha fazla bilgi için bkz. Bulut için Defender güvenlik uyarıları ve Güvenlik uyarılarını yönetme ve yanıtlama.

Önkoşullar

Tüm uyarıları almak için makinelerinizin ve bağlı Log Analytics çalışma alanlarının aynı kiracıda olması gerekir.

Örnek güvenlik uyarıları oluşturma

Bulut için Microsoft Defender'da güvenlik uyarılarını yönetme ve yanıtlama bölümünde açıklandığı gibi yeni önizleme uyarıları deneyimini kullanıyorsanız Azure portalındaki güvenlik uyarıları sayfasından örnek uyarılar oluşturabilirsiniz.

Örnek uyarıları kullanarak:

  • Microsoft Defender planlarınızın değerini ve özelliklerini değerlendirin.
  • güvenlik uyarılarınız (SIEM tümleştirmeleri, iş akışı otomasyonu ve e-posta bildirimleri gibi) için yaptığınız tüm yapılandırmaları doğrulayın.

Örnek uyarılar oluşturmak için:

  1. Abonelik Katkıda Bulunanı rolüne sahip bir kullanıcı olarak güvenlik uyarıları sayfasındaki araç çubuğunda Örnek uyarılar'ı seçin.

  2. Aboneliği seçin.

  3. Uyarılarını görmek istediğiniz ilgili Microsoft Defender planını/planlarını seçin.

  4. Örnek uyarılar oluştur'u seçin.

    Bulut için Microsoft Defender'da örnek uyarılar oluşturma adımlarını gösteren ekran görüntüsü.

    Örnek uyarıların oluşturulduğunu bildiren bir bildirim görüntülenir:

    Örnek uyarıların oluşturulduğunu belirten bildirimi gösteren ekran görüntüsü.

    Birkaç dakika sonra uyarılar güvenlik uyarıları sayfasında görünür. Bunlar ayrıca, Bulut için Microsoft Defender güvenlik uyarılarınızı (bağlı SIEM'ler, e-posta bildirimleri vb.) alacak şekilde yapılandırdığınız başka herhangi bir yerde de görünür.

    Güvenlik uyarıları listesindeki örnek uyarıları gösteren ekran görüntüsü.

    İpucu

    Uyarılar sanal kaynaklar içindir.

Azure VM'lerinizde uyarıların simülasyonunu oluşturma (Windows)

Makinenize Uç Nokta için Microsoft Defender aracısı yüklendikten sonra, Sunucular için Defender tümleştirmesinin bir parçası olarak uyarının saldırıya uğrayan kaynağı olmak istediğiniz makineden şu adımları izleyin:

  1. Cihazda yükseltilmiş bir komut satırı istemi açın ve betiği çalıştırın:

    1. Başlat'a gidin ve yazıncmd.

    2. Komut İstemi'ni sağ seçin ve Yönetici olarak çalıştır'ı seçin

    Yönetici istrator olarak çalıştır'ın seçileceği yeri gösteren ekran görüntüsü.

  2. İstemde aşağıdaki komutu kopyalayıp çalıştırın: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'

  3. Komut İstemi penceresi otomatik olarak kapanır. Başarılı olursa, 10 dakika içinde Bulut için Defender Uyarılar dikey penceresinde yeni bir uyarı görünür.

  4. PowerShell kutusundaki ileti satırı, burada gösterildiği gibi görünmelidir:

    PowerShell ileti satırını gösteren ekran görüntüsü.

Alternatif olarak, bu testi gerçekleştirmek için EICAR test dizesini de kullanabilirsiniz: Bir metin dosyası oluşturun, EICAR satırını yapıştırın ve dosyayı makinenizin yerel sürücüsüne yürütülebilir dosya olarak kaydedin.

Not

Windows için test uyarılarını gözden geçirirken, Uç Nokta için Defender'ın Gerçek Zamanlı koruma etkin olarak çalıştığından emin olun. Bu yapılandırmayı doğrulamayı öğrenin.

Azure VM'lerinizde uyarıların simülasyonunu oluşturma (Linux)

Makinenize Uç Nokta için Microsoft Defender aracısı yüklendikten sonra, Sunucular için Defender tümleştirmesinin bir parçası olarak uyarının saldırıya uğrayan kaynağı olmak istediğiniz makineden şu adımları izleyin:

  1. Bir Terminal penceresi açın, aşağıdaki komutu kopyalayın ve çalıştırın: curl -O https://secure.eicar.org/eicar.com.txt

  2. Komut İstemi penceresi otomatik olarak kapanır. Başarılı olursa, 10 dakika içinde Bulut için Defender Uyarılar dikey penceresinde yeni bir uyarı görünür.

Not

Linux için test uyarılarını gözden geçirirken, Gerçek Zamanlı koruma etkinken Uç Nokta için Defender'ın çalıştığından emin olun. Bu yapılandırmayı doğrulamayı öğrenin.

Kubernetes'te uyarıların benzetimini yapın

Kapsayıcılar için Defender, hem kümeleriniz hem de temel alınan küme düğümleri için güvenlik uyarıları sağlar. Kapsayıcılar için Defender bunu hem denetim düzlemini (API sunucusu) hem de kapsayıcılı iş yükünü izleyerek gerçekleştirir.

Uyarınızın denetim planıyla mı yoksa ön ekine göre kapsayıcılı iş yüküyle mi ilgili olduğunu anlayabilirsiniz. Denetim düzlemi güvenlik uyarılarının ön eki K8S_olurken, kümelerdeki çalışma zamanı iş yükü için güvenlik uyarılarının K8S.NODE_ön eki vardır.

Aşağıdaki adımlarla hem denetim düzlemi hem de iş yükü uyarıları için uyarıların benzetimini yapabilirsiniz.

Denetim düzlemi uyarılarının simülasyonunu (K8S_ ön eki)

Önkoşullar

  • Kapsayıcılar için Defender planının etkinleştirildiğinden emin olun.
  • Yalnızca yay - Defender algılayıcısının yüklendiğinden emin olun.
  • Yalnızca EKS veya GKE - Varsayılan denetim günlüğü koleksiyonu otomatik sağlama seçeneklerinin etkinleştirildiğinden emin olun.

Kubernetes denetim düzlemi güvenlik uyarısı simülasyonu yapmak için:

  1. Kümeden aşağıdaki komutu çalıştırın:

    kubectl get pods --namespace=asc-alerttest-662jfi039n

    Şu yanıtı alırsınız: No resource found.

  2. 30 dakika bekleyin.

  3. Azure portalında Bulut için Defender güvenlik uyarıları sayfasına gidin.

  4. İlgili Kubernetes kümesinde aşağıdaki uyarıyı bulun Microsoft Defender for Cloud test alert for K8S (not a threat)

İş yükü uyarılarının simülasyonunu (K8S) oluşturun. NODE_ ön eki)

Önkoşullar

  • Kapsayıcılar için Defender planının etkinleştirildiğinden emin olun.
  • Defender algılayıcısının yüklü olduğundan emin olun.

Kubernetes iş yükü güvenlik uyarısı simülasyonu yapmak için:

  1. Test komutunu çalıştırmak için bir pod oluşturun. Bu pod, kümedeki mevcut podlardan herhangi biri veya yeni bir pod olabilir. Bu örnek yaml yapılandırmasını kullanarak oluşturabilirsiniz:

    apiVersion: v1
kind: Pod
metadata:
    name: mdc-test
spec:
    containers:
        - name: mdc-test
          image: ubuntu:18.04
          command: ["/bin/sh"]
          args: ["-c", "while true; do echo sleeping; sleep 3600;done"]

    Pod oluşturmak için komutunu çalıştırın:

    kubectl apply -f <path_to_the_yaml_file>

  2. Kümeden aşağıdaki komutu çalıştırın:

    kubectl exec -it mdc-test -- bash

  3. Yürütülebilir dosyayı ayrı bir konuma kopyalayın ve aşağıdaki komutla cp /bin/echo ./asc_alerttest_662jfi039nolarak yeniden adlandırın./asc_alerttest_662jfi039n.

  4. dosyasını ./asc_alerttest_662jfi039n testing eicar pipeyürütür.

  5. 10 dakika bekleyin.

  6. Azure portalında Bulut için Defender güvenlik uyarıları sayfasına gidin.

  7. İlgili AKS kümesinde aşağıdaki uyarıyı Microsoft Defender for Cloud test alert (not a threat)bulun.

Kapsayıcılar için Microsoft Defender ile Kubernetes düğümlerinizi ve kümelerinizi savunma hakkında daha fazla bilgi de edinebilirsiniz.

App Service için uyarıların simülasyonunu oluşturma

App Service'te çalışan kaynaklar için uyarıların benzetimini yapabilirsiniz.

  1. Yeni bir web sitesi oluşturun ve Bulut için Defender kaydedilmesi için 24 saat bekleyin veya mevcut bir web sitesini kullanın.

  2. Web sitesi oluşturulduktan sonra aşağıdaki URL'yi kullanarak siteye erişin:

    1. App Service kaynak bölmesini açın ve varsayılan etki alanı alanından URL'nin etki alanını kopyalayın.

      Varsayılan etki alanının kopyalandığı yeri gösteren ekran görüntüsü.

    2. Web sitesi adını URL'ye kopyalayın: https://<website name>.azurewebsites.net/This_Will_Generate_ASC_Alert.

  3. Yaklaşık 1-2 saat içinde bir uyarı oluşturulur.

Depolama ATP için uyarıların simülasyonunu oluşturma (Gelişmiş Tehdit Koruması)

  1. Depolama için Azure Defender'ın etkinleştirildiği bir depolama hesabına gidin.

  2. Kenar çubuğunda Kapsayıcılar sekmesini seçin.

    Kapsayıcı seçmek için gidileceği yeri gösteren ekran görüntüsü.

  3. Mevcut bir kapsayıcıya gidin veya yeni bir kapsayıcı oluşturun.

  4. Bu kapsayıcıya bir dosya yükleyin. Hassas veriler içerebilecek herhangi bir dosyayı karşıya yüklemekten kaçının.

    Kapsayıcıya dosyanın yüklendiği yeri gösteren ekran görüntüsü.

  5. Karşıya yüklenen dosyayı sağ seçin ve SAS Oluştur'a tıklayın.

  6. SAS belirteci ve URL oluştur düğmesini seçin (herhangi bir seçeneği değiştirmeniz gerekmez).

  7. Oluşturulan SAS URL'sini kopyalayın.

  8. Buradan indirebileceğiniz Tor tarayıcısını açın.

  9. Tor tarayıcısında SAS URL'sine gidin. Artık karşıya yüklenen dosyayı görmeniz ve indirebilmeniz gerekir.

AppServices uyarılarını test etme

Bir uygulama hizmetleri EICAR uyarısının benzetimini yapmak için:

  1. App Services web sitesinin Azure portalı dikey penceresine giderek veya bu web sitesiyle ilişkili özel DNS girişini kullanarak web sitesinin HTTP uç noktasını bulun. (Azure Uygulaması Services web sitesi için varsayılan URL uç noktası son ekine https://XXXXXXX.azurewebsites.netsahiptir). Web sitesi, uyarı simülasyonu öncesinde oluşturulmuş bir web sitesi değil mevcut bir web sitesi olmalıdır.
  2. Web sitesi URL'sine göz atın ve aşağıdaki sabit son eki ekleyin: /This_Will_Generate_ASC_Alert. URL şöyle görünmelidir: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert. Uyarının oluşturulması biraz zaman alabilir (yaklaşık 1,5 saat).

Azure Key Vault Tehdit Algılamayı Doğrulama

  1. Henüz oluşturulmuş bir Key Vault'nuz yoksa, bir anahtar kasası oluşturduğunuzdan emin olun.
  2. Key Vault ve gizli dizi oluşturma işlemini tamamladıktan sonra İnternet erişimi olan bir VM'ye gidin ve TOR Browser'ı indirin.
  3. VM'nize TOR Browser'ı yükleyin.
  4. Yüklemeyi tamamladıktan sonra normal tarayıcınızı açın, Azure portalında oturum açın ve Key Vault sayfasına erişin. Vurgulanan URL'yi seçin ve adresi kopyalayın.
  5. TOR'yi açın ve bu URL'yi yapıştırın (Azure portalına erişmek için yeniden kimlik doğrulaması yapmanız gerekir).
  6. Erişimi tamamladıktan sonra sol bölmedeki Gizli Diziler seçeneğini de belirleyebilirsiniz.
  7. TOR Tarayıcısı'nda Azure portalında oturumu kapatın ve tarayıcıyı kapatın.
  8. Bir süre sonra, Key Vault için Defender bu şüpheli etkinlik hakkında ayrıntılı bilgi içeren bir uyarı tetikler.

Sonraki adımlar

Bu makalede uyarıları doğrulama işlemine giriş yaptınız. Artık bu doğrulamayı bildiğinize göre aşağıdaki makaleleri inceleyin: